兰迪研究 兰迪研究
LANDING RESEARCH
兰迪研究
首页 兰迪研究 专业文章 文章详情
人类基因数据向外方提供的监管要求

近年来,以人类遗传资源为基础的国际联合医疗研发项目频繁开展,很多此类项目均涉及基因检测。常见的基因检测场景包括临床项目癌症基因检测、产前筛查与诊断、新生儿筛查、个人基因检测等。这些场景必然涉及基因数据的处理乃至对外提供。

 

针对上述背景,本文将围绕人类基因数据向外方提供的监管要求展开,主要包括哪些数据构成基因检测数据、基因数据的监管范畴、对外提供的情形以及合规要求。

 

 

 

01

什么是基因数据

 

参考《信息安全技术 基因识别数据安全要求》(征求意见稿),基因数据一般包括基因识别数据和描述遗传物质样品及主体的信息。
 

基因识别数据:使用技术手段,从人类遗传物质中提取的表征个体或群体遗传信息的数据,该数据可以直接或间接识别到人类个体或群体。具体包括:基因组核酸序列数据、功能基因组数据,以及提取过程中生成的原始数据和中间数据。

 

描述遗传物质样品及其数据主体的相关信息:如采集时间、采集地点、采集对象、采集者、采集方式、样本类型、规格、单位、样品保存期限、测序平台信息、芯片信息、测序时间、数据量、数据类型、遗传疾病、姓名、性别、籍贯、民族、出生日期、身份证号、个体特征、家系信息、用药指南、健康风险等。

 

以微基因展示的基因报告为例,其中全基因组可能涉及基因识别数据,其他祖源分析、营养代谢、健康风险等,则为描述遗传物质样品及其数据主体的相关信息。

 

(图片来源于笔者的微基因检测结果)

 

 

 

02

基因数据涉及的监管范畴
1.个人信息及个人敏感信息
 

根据《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第四条,“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理的信息。《个人信息保护法》第二十八条,“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

 

因基因数据可识别至特定自然人,或与特定自然人相关,即落入个人信息范畴,且构成敏感个人信息。

 

2.重要数据
 

根据《汽车数据安全管理若干规定(试行)》第三条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。

 

参考《网络数据安全管理条例(征求意见稿)》第七十三条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。且“达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据”可能构成重要数据。参考《信息安全技术-重要数据识别指南(征求意见稿)》第五条,“反映群体健康生理状况、族群特征、遗传信息等的基础数据”可能构成重要数据。

 

诚然,现行有效法律暂未对“重要数据”作出明确界定,但参考上述制定中的法律及标准,基因数据极有可能构成重要数据。

 

3.人类遗传资源

根据《人类遗传资源管理条例》第二条,“本条例所称人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。”

因此,基因数据属于人类遗传资源中的人类遗传资源信息,构成人类遗传资源。

 

4.医疗健康数据的行业监管

根据《人口健康信息管理办法(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《信息安全技术健康医疗数据安全指南》及《信息安全技术 基因识别数据安全要求(征求意见稿)》等规范与标准对医疗健康相关数据处理的特别要求,企业在处理基因数据时,还需遵循或参考上述规范及标准。

 

值得注意的是,《信息安全技术健康医疗数据安全指南》11.3.3中提及,“相关主管部门对基因数据的安全有专门规定,所以本标准不涉及基因数据安全”。

 

综上,基因数据需着重考虑人类遗传资源监管,并参考《信息安全技术 基因识别数据安全要求(征求意见稿)》。

 

 

 

03

基因数据向外方提供的情形
1.何为向“外方”提供
 

基因数据向外方提供并受到监管主要分为如下两个场景:

 

  1. 基因数据出境:在该场景下,可能受到个人信息、重要数据、人类遗传资源及医疗健康行业监管的多重限制;

  2. 基因数据虽未出境,但向由境外组织、个人设立或者实际控制的国内机构提供或者开放使用的。

 

《人类遗传资源管理条例实施细则(征求意见稿)》第十二条对“实际控制”解释如下:(一)境外组织、个人持有或者间接持有机构百分之五十以上的股份、股权、表决权、财产份额或者其他类似权益;(二)境外组织、个人持有或者间接持有机构的股份、股权、表决权、财产份额或者其他类似权益虽然未达到百分之五十,但其所享有的决策机构表决权或其他权益足以对该机构的决议或对该机构的决策、内部管理产生重大影响;(三)境外组织、个人通过协议或者其他安排,足以对机构的决策、经营管理等重大事项施加重大影响;(四)科技部认定的其他情形。

 

参考上文对于“实际控制”的解释,当与外企开展合作时,极可能触发基因数据向外方提供的监管。

 

2.向外方提供的常见场景
  1. 科学研究:以发现新知识为主要目的的活动,科学研究成果一般会以文章、专利等形式公开发表,其中会涉及部分基因识别数据及关联信息。在此情况下,典型基因数据向外方提供的场景是,在国外发表文章或参加国际会议,涉及引用基因样例。

  2. 技术开发:以开发新技术或升级已有技术为目的的活动,主要包括计算技术开发(如:算法、分析流程等)和实验技术开发(如:测序技术、临床实验方法等)两大类。如涉及与外方联合研发等场景下,将涉及基因数据向外方提供。

  3. 产品研发或升级:以研发或升级应用产品为目的的活动。常见的活动包括临床检测类产品、药物研发、消费级服务等。外资药企常需此类信息用于产品研发或升级。

 

参考科技部官网公开的行政审批结果,常见的合作项目如下:

 

 
3.典型基因数据对外提供的处罚案例  
 

2015年,在H基因科技服务有限公司和H医院与境外O高校在执行“中国女性单相抑郁症的大样本病例对照研究”国际科研合作中,H医院及H公司未经许可将部分人类遗传资源信息从网上传递出境。对此情况,科学技术部要求其停止研究工作,并销毁所有未出境的遗传资料及相关研究数据,要求整改合格后再行开展相关研究工作。(行政处罚决定书 国科罚〔2015〕1、2号)

 

 

 

04

基因数据对外提供的合规义务
1.基因数据跨境
 
(一)人类遗传资源信息跨境监管
 

根据《生物安全法》以及《人类遗传资源管理条例》,人类遗传资源信息跨境监管主要分为如下三种情况:

 

  1. 利用我国人类基因数据开展国际科学研究合作;

  2. 将我国人类遗传资源材料运送、邮寄、携带出境,基因数据伴随人类遗传资源材料转移;

  3. 转移人类遗传资源信息。

     

其中(1)(2)情形下,应取得科技部的行政许可。

 

关于情形(1),根据《人类遗传资源管理条例》第二十二条,如因利用我国人类基因数据开展国际合作科学研究,还应满足如下条件:

 

  1. 对我国公众健康、国家安全和社会公共利益没有危害;

  2. 合作双方都是法人并具有开展相关工作的基础和能力;

  3. 合作研究目的和内容明确、合法,期限合理;

  4. 合作研究方案合理;

  5. 拟使用的人类遗传资源来源合法,种类、数量与研究内容相符;

  6. 双方均通过所在地区的伦理审查;

  7. 研究成果归属明确,有合理明确的利益分配方案。

 

关于情形(2),根据《人类遗传资源管理条例》第二十七条,涉及基因数据来源样本(即人类遗传资源材料)出境的,还应满足:

 

  1. 对我国公众健康、国家安全和社会公共利益没有危害;

  2. 具有法人资格;

  3. 有明确的境外合作方和合理的出境用途;

  4. 人类遗传资源材料采集合法或者来自合法的保藏单位;

  5. 通过伦理审查。

 

关于情形(3),根据《人类遗传资源管理条例》第二十二条,“为获得相关药品和医疗器械在我国上市许可,在临床机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源材料出境的,不需要审批。但是,合作双方在开展临床试验前应当将拟使用的人类遗传资源种类、数量及其用途向国务院科学技术行政部门备案。国务院科学技术行政部门和省、自治区、直辖市人民政府科学技术行政部门加强对备案事项的监管”,及第二十八条“将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术行政部门备案并提交信息备份。”

 

即,如仅出境人类遗传资料信息,在行政监管层面,应履行的合规措施为当向国务院科学技术行政部门备案并提交信息备份。

 

(二)个人信息跨境监管

根据《个人信息保护法》以及《数据出境安全评估办法》,总结如下:

 

  1. 如基因数据出境数量超出1万条,通过所在地省级网信部门向国家网信部门申报数据出境安全评估;

  2. 进行数据出境自评估;

  3. 进行个人信息安全保护影响评估;

  4. 取得个人信息主体的单独同意;

  5. 与数据接收方签订SCC合同。

 

(三)重要数据跨境监管

如涉及重要数据,应根据《数据出境安全评估办法》相关规定通过所在地省级网信部门向国家网信部门申报数据出境安全评估,并履行相关合规义务。

 

2.基因数据未出境但向境外组织、个人设立或者实际控制的国内机构提供

根据《人类遗传资源管理条例》第二十二条及第二十八条,应履行的合规措施为当向国务院科学技术行政部门备案并提交信息备份。

RECOMMEND
相关推荐